Bei allen betroffenen Extensions handelt es sich um Third-Party-Extensions, die nicht Teil der TYPO3-Default-Installation sind. Nutzern wird empfohlen, die entsprechenden Updates über den TYPO3 Extension Manager zu installieren oder nicht länger maintainte Extensions aus ihren Projekten zu entfernen.
Insgesamt acht TYPO3 Extensions von Schwachstellen betroffen
Sowohl die Extension Job Fair (jobfair), als auch Frontend User Upload (feupload) sind anfällig für Arbitrary Code Execution. Während die Schwachstelle in Job Fair mit dem Update der Extension zu Version 1.0.1 behoben wird, wird Nutzern von Frontend User Upload die Deinstallation und das Entfernen der Extension dringend empfohlen.
In BE User Log (beko_beuserlog) wurde eine Cross-Site-Scripting-Schwachstelle festgestellt, die dafür sorgt, dass die Extension User Input in HTML-Kontexten nicht richtig verlassen kann. Da die Extension nicht länger maintained wird, sollten User auch diese Extension deinstallieren.
Gleich fünf verschiedene Extensions sind von SQL-Injection-Schwachstellen betroffen. Dazu zählen die Extensions
- FAQ – Frequently Asked Question (js_faq)
- Developer Log (devlog)
- Smoelenboek (ncgov_smoelenboek)
- Store Locator (locator)
- wt_directory (wt_directory)
Für alle genannten Extensions steht jeweils eine neue Version im TYPO3 Extension Manager zur Verfügung, die die Schwachstelle beheben sollen. Mehr Informationen zu den Schwachstellen und ihrem jeweiligen Schweregrad finden sich auch in den entsprechenden Beiträgen auf der TYPO3-Website.
Aufmacherbild: Dry rot in outdoor deck support von Shutterstock / Urheberrecht: Julie Vader
